TLS vs SSL
Det finns ett antal skillnader mellan SSL och TLS eftersom TLS är efterföljaren till SLS, som alla kommer att diskuteras i den här artikeln. SSL, som refererar till Secure Socket Layer, är ett protokoll som används för att tillhandahålla säkerhet till anslutningar mellan en server och en klient. Detta protokoll använder säkerhetsmekanismer som kryptografi och hashing för att tillhandahålla säkerhetstjänster som konfidentialitet, integritet och slutpunktsautentisering till anslutningar mellan en server och en klient. TLS, som refererar till Transport Layer Security, är efterföljaren till SSL, som inkluderar buggfixar och förbättringar jämfört med SSL. SSL, som nu är lite gamm alt, har många kända säkerhetsbuggar och därför rekommenderas den senaste versionen av TLS, som är TLS 1.2. SSL kom upp till version 3.0 och efter det ändrades namnet till TLS.
Vad är SSL?
SSL, som refererar till Secure Socket Layer, är ett protokoll som används för att tillhandahålla säkra anslutningar mellan en klient och en server. En TCP-anslutning kan tillhandahålla en pålitlig länk mellan en server och en klient men kan inte tillhandahålla tjänster som konfidentialitet, integritet och slutpunktsautentisering. Så SSL introducerades av Netscape i början av 1990-talet för att tillhandahålla dessa tjänster. Den första versionen av SSL, som är känd som SSL 1.0, släpptes aldrig för allmänheten eftersom den hade många säkerhetshål. Men 1995 introducerades SSL 2.0, som gav bättre säkerhet än SSL 1.0, och 1996 introducerades SSL 3.0 med fler förbättringar. Nästa versioner av SSL-protokollet dök upp under namnet TLS.
SSL, som är implementerat i transportlagret, kan säkra ett protokoll som TCP genom att tillämpa olika säkerhetsåtgärder. Det kommer att ge konfidentialitet genom att använda krypteringar för att förhindra att någon avlyssnar. Den använder både asymmetrisk och symmetrisk kryptering. Först, med användning av asymmetrisk nyckelkryptering, etableras en symmetrisk sessionsnyckel som sedan skulle användas för att kryptera trafiken. Asymmetrisk nyckelkryptografi används också för digitala certifikat som används för att autentisera servern. Sedan används Message Authentication Code, som använder olika hashtekniker, för att tillhandahålla integritet (identifiera eventuella oautentiserade modifieringar som gjorts av den verkliga datan). Så ett protokoll som SSL tillåter överföring av känslig information som banktransaktioner och kreditkortsinformation över internet. Den används också för att tillhandahålla konfidentialitet för tjänster som e-post, webbsurfning, meddelanden och röst över IP.
SSL är nu föråldrat och har många säkerhetsproblem där användningen inte rekommenderas särskilt mycket för närvarande. SSL 3.0 var aktiverat som standard tills nyligen i många webbläsare men nu planerar de att inaktivera i framtida versioner på grund av allvarliga säkerhetsbuggar som POODLE-attack.
Vad är TLS?
TLS, som hänvisar till Transport Layer Security, är efterföljaren till SSL. Efter SSL 3.0 dök nästa version upp som TLS 1.0 1999. Sedan, 2006, introducerades en förbättrad version med namnet TLS 1.1. Sedan, 2008, gjordes ytterligare förbättringar och buggfixar och TLS 1.2 introducerades. För närvarande är TLS 1.2 den senaste tillgängliga Transport Layer Security-versionen. Precis som SSL tillhandahåller TLS även säkerhetstjänster som konfidentialitet, integritet och slutpunktsautentisering. På liknande sätt används kryptering, meddelandeautentiseringskod och digitala certifikat för att tillhandahålla dessa säkerhetstjänster. TLS är immun mot attacker som POODLE-attack, vilket har äventyrat säkerheten för SSL 3.0.
Rekommendationen är att använda den senaste TLS-versionen, TLS 1.2, eftersom den är den senaste och har minst säkerhetsbrister. Alla säkerhetssystem är inte perfekta och med tiden kommer brister att upptäckas och i framtiden kommer TLS version 1.3 att släppas som kommer att fixa de upptäckta felen. Men för närvarande är TLS 1.2 den säkraste och i alla vanliga webbläsare är detta aktiverat som standard.
Vad är skillnaden mellan SSL och TLS?
• TLS är efterträdaren till SLS. SLS introducerades på 1990-talet och tre versioner har introducerats nämligen SSL 1.0, SSL 2.0 och SSL 3.0. Därefter, 1999, döptes nästa version av SSL till TLS 1.0. Sedan introducerades TLS 1.1 och den senaste versionen är TLS 1.2.
• SSL har många buggar och är känsligt för kända attacker än TLS. I de senaste TLS-versionerna har de flesta buggar åtgärdats och är därför immuna mot attacker.
• TLS har nya funktioner och stöder nya algoritmer jämfört med SSL.
• Med attacken som kallas POODLE-attack har nu användningen av SSL blivit mycket sårbar och i de nya versionerna av webbläsare kommer SSL att vara inaktiverat som standard. Men i alla webbläsare är TLS aktiverat som standard.
• TLS stöder nya autentiserings- och nyckelutbytesalgoritmsviter som ECDH-RSA, ECDH-ECDSA, PSK och SRP.
• Algoritmsviter för meddelandeautentiseringskod som HMAC-SHA256/384 och AEAD är tillgängliga i de senaste TLS-versionerna, men inte i SSL.
• SSL utvecklades och redigerades under Netscape. TLS är dock under Internet Engineering Task Force som ett standardprotokoll och är därför tillgängligt under RFC.
• Det finns skillnader i implementeringen av protokollet, såsom nyckelutbyte och nyckelhärledning.
Sammanfattning:
TLS vs SSL
TLS är efterföljaren till SSL och därför inkluderar TLS många förbättringar och buggfixar över SSL. SSL introducerades i början av 1990-talet och tre versioner kom upp till SSL 3.0. Sedan, 1999, dök nästa version av SSL upp under namnet TLS 1.0. För närvarande är den senaste versionen TLS 1.2. SSL är ett gamm alt protokoll har många kända säkerhetsbuggar och är därför mottagligt för kända attacker som POODLE-attack. Den senaste versionen av TLS har korrigeringar för dessa attacker samtidigt som den stöder nya funktioner och algoritmer. Så för program som behöver bättre säkerhet rekommenderas den senaste versionen av TLS istället för att använda gamla SSL-protokoll.